GDPR ställer krav på hanteringen av personuppgifter som kan beröra alla delar av er verksamhet. Då vi jämfört GDPR:s krav på skydd för persondata mot ISO/IEC 27001 Bilaga A 114 säkerhetsåtgärder för informationssäkerhet samt övriga relevanta ISO/IEC standarder så bedömer vi att dessa standarder ger en mycket god bas för hantering av de krav GDPR ställer. Det behövs naturligtvis också en komplettering med ytterligare kontrollpunkter för att hantera ett antal unika krav som finns i GDPR lagstiftningen.
Se Veriscan pdf: Information Security Management System (ISMS) and handling of personal data
Veriscan Security har arbetat med informationssäkerhet inom företag och myndigheter sedan 1999 och har sedan starten av ISO/IEC 27000-arbetet deltagit i utvecklingen av dessa standards för ledningssystem för informationssäkerhet. Vår metodik och våra verktyg för informationsklassificering, riskhantering och mätning av prestanda i en organisations informationssäkerhet ger dig ett kraftfullt stöd för ditt GDPR arbete.
Se Veriscan pdf: Veriscan solutions for handling personal data and meeting the requirements of GDPR
Kontakta Veriscan för mer information.
Email: info@veriscan.se
Att inkludera GDPR i den normala klassificering av information är en smart lösning för att ha en och samma process som del i ett ledningssystem för informationssäkerhet baserat på ISO 27000 serien. Klassificering av tillgångar finns som säkerhetsåtgärder A 8.2.1 i ISO/IEC 27001 samt finns även i GDPR med krav på att bedöma persondata utfrån individens perspektiv.
För att kunna kombinera dessa aktiviteter så är följande steg i klassificeringsprocessen nödvändiga:
I exemplet ovan från verktyget för informationsklassificering , Veriscan vIC, visas klassficeringmodellen baserat på fyra aspekter samt att man även lagt till påverkan på individ samt även bedömt legal grund för behandlingen av personuppgifter.
Att klassificera sin information inkl. GDPR och ha det i ett register är en mycket stark grund att sedan bygga vidare på med att riskbedöma och skydda dessa informationstillgångar.
För att kunna göra detta effektivt så måste man veta var informationen/persondata finns. Med dessa resurser identifierade så finns förutsättningen för att bedöma sårbarheter och konsekvenser och applicera ett verksamt riskskydd. Det är vår slutsats för att ha en tydlig metodik i sitt arbete och grunden för ISO/IEC 27001. Den kartläggningen kan göras på många sätt och Veriscan vIC ger stöd för detta och innebär att det tillgångsregister man bygger upp även innehåller resurser som verksamhetssystem, nätverk och IT tjänster m.m.
Att kunna visualisera och dynamiskt rapportera ut ur registret är en stor fördel som Veriscan vIC kan ge för att identifiera informationsägare och fastställa riskägare samt en överblick.
I exemplet nedan så ser vi hur en viss informationstyp som innehåller persondata finns i flera IT system/IT tjänster som en verksamhet använder.
De mörkgråa boxarna representerar en informationsmängd som innehåller persondata som finns i CRM systemet (som sedan finns i en intern datorhall). Men samma information med persondata finns också i kampanjsystemet som levereras av en molntjänstleverantör.
Beroende på var persondata finns så kan vi ha olika risker förknippade med informationssäkerhet. Vi kan också ha hanteringsrisker inom olika processer som GDPR kräver, t.ex. incidenthanteringsprocessen. Dessa risker bör då fångas upp i de olika riskanalyser som görs inom ramen för ledningssystemet för informationssäkerhet enligt ISO/IEC 27001.
Det är viktigt att man i riskmetodiken och riskprocessen kan fånga upp dessa risker också. Både metodik, struktur och verktygsstöd påverkar hur effektiv riskhanteringen blir.
Veriscan kan stödja att utforma er metodik korrekt men erbjuder också verktygsstöd via VeriscanRISK
Bilden visar hur man i VeriscanRISK kan selektera och få ut rapporter på olika risker som är kopplade till Persondata. Notera att dessa risker kan ha andra kopplingar t.ex. till informationssäkerhet, ”Compliance” m.m. samtidigt. På så sätt kan man minska antalet risker som man registrerar och arbetar med. Med denna riskbedömning som grund fortsätter man med att besluta vilka åtgärder för riskhantering som blir nödvändiga samt fastställer ansvariga för åtgärderna, tidplan och uppföljning. Dessa steg stöds naturligtvis också i VeriscanRISK
En prestandamätning av er informationssäkerhet m.h.a. Veriscan Rating ger en kraftfull utvärdering av indikatorer för hur väl ni möter GDPR kraven och blir en självklar del i rapporteringen till verksamhetsledningen. Denna regelbundna mätning ger också grunden till att följa upp och driva en kontinuerlig förbättring av verksamhetens informationssäkerhet med stöd av en kraftfull rapportering och visualisering.
Veriscan Rating metodiken och verktygen är baserade på ett flertal best practice och standarder (t.ex. ISO/IEC 27001 Bilaga A, ISO/IEC 27002 och regelverk med specifika kontrollpunkter för informationssäkerhet i IT/System, i Organisationen och i Fysiska anläggningar/tillgångar. Här kan unika GDPR kontrollpunkter inkluderas.